2009-5-13 7:25:24

网络防火墙的设置技巧

如今网络防火墙已经成为了各位网友上网，但是又有对少人能让他的网络防火墙真正发挥他的作用呢？

.

　　CIO频道每周热"点"文章 .

　　CIO如何化解IT团队人际冲突？抱守与放弃：CIO该如何抉择 .

　　如何重塑政府CIO职能？2009年CIO面临的挑战以及应对策略 .

　　三个教训 我亲历的战略转型故事远离CEO“直觉决策” CIO如何把握时机？ .

　　许多人对于网络防火墙的功能不加以设置，对网络防火墙的规则不加以设置——这样，网络防火墙作用就会大大减弱…… .

　　网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。试问，这样的设置就一定会100%适合你吗？肯定不可能。下面，我就以我自己实践的经验，谈谈我自己的看法。 .

　　功能设置篇 .

　　功能设置属于外部设置。为什么这样说呢？主要因为，这些设置不会改变规则中要求拦截和放行对象。 .

　　对于我这个经常上网的宽带用户来说，随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说，防火墙的启动有两种方案： .

　　方案一：上网前手动开启防火墙(一般用户) .

　　方案二：用一个文件使防火墙和网络连接一起启动(高级用户) .

　　通常，网络防火墙都会有一个安全等级选项。对于这个选择，绝对不可以随便选。因为，有不少用户就是因为不根据实际情况选择，而导致无法使用某些网络资源或被黑客有机可乘。 .

　　像我这样的固定ip的技术性局域网用户来说，我认为设置为中等即可。因为，我们不像某些用户那样可以随意改变自己的ip，所以我们的防御必须比动态ip用户要高一些。 .

　　但是，是不是越高越好呢？不是。某些用户，因为不切实际的把安全等级设置为高级，而又不会在规则中设置相应网络规则，而导致无法使用某些网络资源，如在线直播等。 .

　　因此，我建议一般用户将规则设置为中低即可。 .

　　至于其他报警设置等，我也不想多说了。但是，我还是要提醒一句，拦截一定要记录在日志里。这样才以便我们复查。 .

　　规则设置篇

.

　　ICMP IGMP炸弹都让一些用户感到心惊胆战。所以，某些用户索性禁止所有ICMP和IGMP。

.

　　这样，显然是不大好的设置。为什么呢？因为ICMPIGMP固然被人利用来做炸弹，但是总不能“宁可杀错一万，不能放走一个”的全部拦截。且不说别的，就说因为全部拦截ICMPIGMP所耗费的系统资源就数不胜数……

.

　　我建议，拦截的只需是ICMP的1型(即echorequset)就已经足够了。为什么呢？拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线，所以此类ICMP必须拦截。 .

　　如果你还是担心ICMP IGMP炸弹，不妨去微软那打个补丁。 .

　　网络防火墙的一大功能就是防木马和防黑客，所以自己设置规则拦截木马和阻截黑客是必要的。 .

　　你也许会说，网络防火墙不是有默认的规则吗？的确，有。但是，这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞，恐怕原先的规则就不能胜任他的任务了。

.

　　那么，我们怎样设置规则呢？ .